La Californie, l'État américain berceau des géants technologiques, a adopté jeudi une législation stricte sur les données personnelles largement inspirée du Réglement européen de protection des données (RGPD), un vote qui intervient dans le sillage du scandale Facebook/Cambridge Analytica.
Cette loi, qui doit entrer en vigueur le 1er janvier 2020, pourrait donc avoir des répercussions sur les géants du web dont le modèle économique repose sur la collecte et l'exploitation commerciale des données personnelles de leurs usagers. Elle est, selon médias et associations, la première du genre aux États-Unis.
Le California Consumer Privacy Act, voté par le Sénat et la Chambre des représentants de Californie, et ratifié par le gouverneur Jerry Brown, exige notamment - comme le RGPD - que les entreprises rendent publics les types de données qu'elles collectent et permettent aux consommateurs de refuser de voir leurs données utilisées à des fins commerciales.
Les organisations présentes sur internet recevant des demandes « vérifiables » de consommateurs pour que leurs données soient effacées devront obtempérer.
« Un consommateur aura le droit, à tout moment, d'ordonner à une entreprise qui vend les informations personnelles [...] à des tiers de ne pas [les] vendre », stipule le texte.
Les sites internet des entreprises devront proposer par exemple des liens titrés « Ne vendez pas mes informations personnelles » sur lesquels cliquer.
Toutefois, le texte n'évoque pas directement de mesures coercitives, comme des amendes, pour faire appliquer ces obligations, laissant essentiellement la possibilité aux consommateurs d'intenter une action en justice.
« Préoccupation » ou « victoire »
L'Internet Association, qui représente notamment Google, Amazon, Facebook, Twitter et Microsoft, a regretté ce vote, organisé à la hâte selon elle.
« Les politiques de régulation autour des données sont complexes et ont des effets sur tous les secteurs économiques, notamment internet. C'est ce qui rend le manque de débat public autour de cette loi aux conséquences multiples encore plus préoccupant », a indiqué Robert Callahan, l'un de ses responsables, dans un communiqué.
La numéro deux de Facebook, Sheryl Sandberg, avait toutefois indiqué plus tôt devant la presse que le réseau social soutenait la mesure.
La prudence de certaines réactions dans la « tech » s'explique en partie par le fait que, sans ce vote jeudi, la Californie aurait à la place proposé aux électeurs en novembre de s'exprimer sur un texte plus restrictif.
Pour l'association de consommateurs Consumer Watchdog, en revanche, cette loi, « la plus sévère » du pays, est une « victoire » historique qui devrait ouvrir la voie à d'autres États américains.
« Aujourd'hui, les Californiens ont gagné le droit de contrôler leurs données privées et de demander des comptes aux entreprises », a écrit dans un communiqué Jamie Court, président de l'association.
Facebook a laissé filer les données personnelles de 87 millions de ses usagers à leur insu, qui se sont retrouvées entre les mains de la firme britannique Cambridge Analytica, spécialisée dans la communication stratégique et qui travailla en 2016 pour la campagne de Donald Trump à la Maison-Blanche.
Ce scandale, qui a éclaté à la mi-mars, a entraîné la colère d'usagers, de citoyens, de responsables politiques, certains, même aux États-Unis, appelant à réguler davantage les géants d'internet.
Il a aussi eu pour effet de faire abondamment parler du RGPD, entré en vigueur dans l'Union européenne le 25 mai, et qui renforce les droits des internautes avec des obligations claires pour les entreprises dans le traitement des données personnelles et des sanctions pouvant aller jusqu'à plus de 30 millions de dollars et 4 % du chiffre d'affaires.
Le patron fondateur de Facebook, Mark Zuckerberg lui-même, en passant sur le grill de parlementaires américains et européens, avait vanté les mérites du RGPD.